钻漏洞“薅羊毛”赚100万,安全人员要背锅吗?
2023-7-7 11:22:52 Author: www.freebuf.com(查看原文) 阅读量:13 收藏

近日,上海嘉定公安接到某网络电商公司报案称,发现公司网购平台用户中有存在利用服务漏洞“薅羊毛”的可疑交易,致使企业累计损失达100万。通过梳理,民警最终锁定并抓获了王某、汪某等分散于多个省市的实施“薅羊毛”诈骗的20名犯罪嫌疑人。

那么问题来了,这家电商公司出现这么大的业务漏洞,业务人员自然是难逃罪责,但是安全人员是不是也会因此背锅?

1688699906_64a784026f070170bc25d.png!small

图源:陕视新闻官网微博

随着互联网的迅猛发展和电子商务的兴起,“薅羊毛”消费文化悄然兴起。消费者们通过熟练运用各种平台的红包、满减、折扣券等福利手段,使得购物变得更加经济划算。无论是线上购物平台还是线下实体店,都纷纷推出各种吸引人的促销活动,为消费者提供更多实惠。

然而,随着“薅羊毛”逐渐成为一种趋势,不可避免地出现了一些问题。一些不法分子利用虚假信息、诈骗手段等手段,通过“薅羊毛”牟取私利。

1688701614_64a78aaeb80fff775ae3f.png!small

羊毛薅的好,牢饭少补了?

近年来,利用平台漏洞“薅羊毛”的事件可谓是层出不穷。但靠漏洞蹭一些小红包、优惠券满足低价购物需求的“薅羊毛”行为,和利用漏洞套现、或与他人产生金钱交易以换取大额盈利的诈骗行为是有本质区别的。

得物bug部分商品全部9元

去年2月,有网友发现得物APP出现了一批bug价格,包括名牌衣服、鞋子甚至名表,价格统一为9元,与正常价格差价极大,因此不少人趁机下单。

1688713418_64a7b8ca9783d90f9cb50.jpg!small?1688713418916

很快得物官方就发表公告称,经过公司排查发现,由于后台系统技术原因,部分商品上线价格显示异常,与实际价格存在较大差距。在此期间,对于价格错误的订单,平台将统一进行关闭处理。作为道歉,得物将向受到影响的每位用户发放特例商品除外的2张50元无门槛优惠卷。

虽然9元商品没“薅”到,但是不少网友也表示算是用一次bug免费换取了大额优惠券,这波不亏。

星巴克券后一杯仅3元

去年4月,星巴克APP因出现bug被网友推上了微博热搜。有多名网友反映,自己的星巴克App账户里忽然多了大量优惠券,包括生日邀请券、周年庆邀请券、金星晋级饮品券等。其中,部分优惠券的有效期截至本周或本月底,而有的券都到了5月份。

1688713841_64a7ba715cfb94ac227be.jpg!small?1688713842315

对于这一情况,星巴克官方微博回应称,系统确实出bug了,技术伙们正在全力抢修。星巴克客服也表示,的确是系统出现了异常,正在修复。优惠券如果在门店正常核销,就可以使用。

最终,真的很多用户薅到了这波羊毛。

当然,也不是所有的“薅羊毛”都能被称为是“薅羊毛”。

冒充新用户非法套现20万

今年2月,山东东城派出所民警在治安清查行动中发现,辖区有一工作室存在诈骗行为。经查自2022年5月至今,赵某、冯某、韩某三人先后在两小区附近出租房内,大量购买淘宝账号,利用淘宝天猫超市漏洞,冒充新用户以“薅羊毛”手段骗领天猫超市红包,并通过多种手段套现,非法获利20余万元。

1688706931_64a79f73ed51920ab4bb0.png!small

图源:菏泽网警巡查执法官方账号

利用肯德基退券漏洞获利20万

去年9月,上海有5名大学生因利用肯德基手机客户端和微信客户端之间数据不同步的漏洞获利20多万元。法院一审认为各被告人通过发起虚假交易,获取退券退款的行为,是基于两个客户端之间数据不同步,使被害单位在错误的基础上进行财产处分,进而造成财产损失,故各被告人的行为符合诈骗罪的构成要件。

1688700088_64a784b8c2bd26383b42e.png!small

图源:央视新闻

冒领新人返现金致使平台方损失15万

去年7月,上海市公安局闵行分局接辖区一直播平台企业报案,称企业为鼓励用户推荐新人而设置的返现奖励金疑似被人冒领,直接经济损失15万元。经梳理,警方在该直播平台系统内发现了9个用户,在并未发生邀请行为的情况下,成为了其他196位用户的“邀请人”,累积领取奖励金达800余次,其中最多的用户在45天内领取235次,成了“专职”邀请人。

1688707165_64a7a05d594823d776bc4.png!small

图源:文汇报

非法注册新会员兑换免费停车造成商场损失37万

2021年6月,有车主为了节省停车费,使用一款不法软件将他人身份信息绑定在自己的车辆上,利用某商场新会员注册获赠积分,积分可兑换商场停车场一小时停车时间”的活动规则“薅羊毛”,一年内造成商场损失了近37万元停车费。最终,部分车主因诈骗罪分别被判处有期徒刑六个月到九个月不等,缓刑一年,处罚金。而软件开发者因犯帮助信息网络犯罪活动罪,被判有期徒刑六个月,并处罚金。

"薅羊毛"属于违法行为吗?

无可否认,“薅羊毛”的确已经成为了当代消费者的一种普遍行为。在日常的购物过程中,消费者们通过合理的调查研究和耐心的等待,以最低的价格获得心仪的商品或服务,实现消费的最大化这本身没什么问题。

但之所以一些人因为“薅羊毛”获罪,主要在于其超越了“羊毛党”界线,构成了诈骗,为他人造成严重经济损失。

比如在上述提及的新闻报道中,通过漏洞免费获取一些优惠券、红包等都属于正常的消费者“薅羊毛”行为;而部分“羊毛党”利用漏洞搞一些“生财门道”,就属于非法行为了。

比如利用APP客户端漏洞进行退款操作,免费骗取兑换券,售卖给他人获利,直接对商家造成经济损失;再比如利用购物平台漏洞,免费退换货赚取退货赔偿金等。

诸如此类行为的非法性和欺骗性非常明显,并非单纯获取优惠券的“羊毛党”那么简单,这些人可不是平常抢个几块到几十块不等红包以自娱自乐的普通人,而是大规模靠技术和人工手段,靠钻漏洞来薅羊毛获取利润的大群体。所以这类人因其非法行为获刑,也就不意外了。

企业被恶意“薅羊毛”,是安全人员的“锅”吗?

如果从“被损害利益”的企业层面出发,因消费者非法“薅羊毛”而造成的经济损失,责任到底该归咎于谁?究竟是制定“薅羊毛”活动玩法规则的业务人员,还是维护系统安全漏洞的安全人员。这是一个需要认真思考和解决的问题。

首先,作为安全人员,的确有义务提升自身的安全防护水平,及时监测和应对平台用户的异常行为。但很多情况下,被“薅羊毛”并不全是因为安全漏洞。

“薅羊毛”活动,往往是一些新入驻的商家想要吸引眼球,老商家想要稳固客源所使用的一种营销手段,而筹备活动的业务方也难免有时候会在过程中忽略细节,玩法设置不缜密,从而造成一些本想给用户一点“甜”却险些被“薅秃”的情况出现。

所以由于漏洞被“薅羊毛”这事的责任归咎问题,需要分类讨论,不要看到【漏洞】二字,就觉得是安全人员的锅。

业务人员在制定一场活动时,理应建立更加完善的风险评估和应急响应机制。当然,安全人员也务必定期进行安全审计和漏洞修补。只有采取多层次、多措施的安全措施,加强用户信息的加密和存储安全,才能有效保护日常业务安全。

同时,消费者也应对自己的行为负责,避免参与任何违法或不道德的活动。

另外,政府和相关监管机构也应该发挥作用,加强对“薅羊毛”行为的监管和打击。加大对违法行为的处罚力度,提高执法效率,加强合作与信息共享,共同维护市场的正常秩序。

要想完全消除恶意“薅羊毛”行为的发生几乎是不可能的。但相信只要做到多方共治,必定能有效维护市场秩序和消费者权益。

最后,要给那些恶意的“羊毛党”一句忠告,“不是所有规则漏洞都可以利用的!”就算是“薅羊毛”也应遵守规则,恶意逾越规则而获取非法利益,必然面临着法律责任。


文章来源: https://www.freebuf.com/articles/neopoints/371341.html
如有侵权请联系:admin#unsafe.sh